TOP > 政治・経済 > 「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】-Impress Watch

「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】-Impress Watch

65コメント 登録日時:2019-07-10 09:44 | Impress Watchキャッシュ

「7pay」の問題が拡大している。7月3日に最初の不正利用が報告され、翌4日にはセブン&アイ・ホールディングスのグループ幹部らによる説明会見が実施された。会見では被害者への補償と問題対策後の速やかなサービス再開が発表されるなど矢継ぎ早の対応が行なわれたが、発覚から1週間を経てまだ今後の展開は見えない状況にある。...

Twitterのコメント(65)

>「原因は不明」であり、「すべての可能性が存在する」という状況
コレ怖いな。
Watch: 「 Watch」 「筆者の知り合いが7payで30万円の被害に遭っている。当人はモバイル決済の分野では専門家」
”7iD自体は以前から使っていたもので、仮に7payのサービス開始前にすでに7iDが乗っ取られていたとして、チャージ用パスワードが短時間で突破するのは、実質的な総当たり攻撃である「ブルートフォース」を用いたとしても難しいだろう”
二段階認証を導入して解決する話でもないらしいしセブンが問題と思ってないように見えるみたいだしまた
やらかしそうな雰囲気なんね
「2段階認証」や「パスワードリセット」は問題の本質ではない >
結局のところメディアは2段階認証みたいなわかりやすーいところを叩くことしか出来ないが、問題の本質はインシデントレスポンスできてないことにあるのでは
「7iDに登録したIDと16桁のパスワードの組み合わせは他のサイトでは用いていないもの」だということであれば、パスワードは平文でDBに…という可能性も。
"Engadget 日本版の記事でも触れているが" おお、他メディアの自筆記事についてImpressは触れても良いんだ
2段階認証は未実装が「7pay」で露呈しただけで、オムニ7にも実装されていないかと。パスワードリセット問題はオムニ7にある。「原因が不明」とは「調べる気が無い」と同義かと。。。   「原因が不明」という最大の問題。7payのセキュリティ問題を考察する-Impress
後で読むための自分用メモとして。
外野なのでとにかく誠実に対処して再開することを願います。

しかし中にはいたくない案件ですね。 / Attention】 (Impress Watch)
クッソ辛辣ではあるけれど、こうでも書かないとセブン上層部には届かない…と思いましたが、そもそもネットニュース読んでなさそうね…セブン上層部。
無能なIT部門だな〜→
パスワードが誰でもリセットできちゃうのが原因じゃないんだ。
不正アクセスの原因は今も「不明」で、twitterでバズった「誕生日が分かれば別メアドにPW更新メール送れる」ではなかったのか!
パスワードリセットが原因ではなかったのか?
「責任の所在を巡っていまもなお議論が行なわれていると複数の関係者が証言する。」大変そうですね、責任追及頑張って下さいね(棒)
まだ原因分かってないのかなー。ひどいね。 /
余程の事がない限り今後も使うことは無いだろうな。
……知人が…?🤔
かなり強烈な内容……😥
もうやめてしまえ。足引っ張るな。
システムにバックドア仕込まれてるんじゃないか?って感じまでしてくるな /
7pay専用に複雑なパスワードを設定したのに突破されたというのなら、問題の本質はかなり根深そうだな
ポイントを独自のモノからDocomoさんのiDに移行して管理をDocomoさんに任せた方がいいんじゃないの?
うみゅ〜。🐶
「原因は不明」=「すべての可能性が存在する」という状況>
「現在の最大の問題は、セキュリティに関して総合的に判断して実装を行なう責任者がセブン内部に不在なこと」←もう完全にアウトやん・・・

Attention】-
セキュリティの専門家なのに7payに登録していたっていうのは本当に専門家なのかという感じはある。
"この一連のやり取りから考え得るのは、「セブンは自身のシステムのセキュリティ的問題を認識していない」ということに加え、「今回の問題の原因は外部からの不正アクセスであり、セブンはむしろ被害者」といった意識を持っている可能性だ。"
何を言ってるのかよくわからんが、パスワードリセットされていないのにチャージされたということ?もしそれが本当なら生のパスワードが漏れたか、パスワードなしでチャージできるルートがあったということになるな。 / “「原因が不明」という最大の問題。7payのセキュリテ…”
まじか。これはやばいな。。。 “「7iD」に登録したIDと16桁のパスワードの組み合わせは他のサイトでは用いていないもの” /
パスワードリマインダは単に実装が脆弱だったという話で、ほかにも明るみになっていない脆弱性や情報漏洩がある可能性があるのよね /
二段階認証追加したところで解決しないってことは相当根が深い問題よね……
7payの闇は深い
これもうさあ、キャッシュレス界隈どころかeコマース業界から「セブン&アイグループ全体」をハブっとかなならんレベルのインシデントなんじゃあ…
「それまで潜在していた脆弱性が利用されてしまった可能性が高い」「目を向けるべきなのは、7payもさることながら、「7iD」やそれを利用する「オムニ7」」 ( Watch)
二段階認証以前の問題だな…
良記事。とてもわかりやすい。
“いずれにせよ、各社が必死になって準備してきたものが、1社のセキュリティ問題1つで水泡に帰す事態だけは避けてほしい” /
二段階認証とパスワードリセットだけでは説明できないという話>"現状の7pay問題のステータスを一言で説明すれば「原因は不明」であり、「すべての可能性が存在する」という状況にある" / “「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のP…”
「他の被害者らの事例も各方面の取材を通して把握しているが、「2段階認証」や「パスワードリセット」の問題ですべてを説明できるわけではなく、現状の7pay問題のステータスを一言で説明すれば「原因は不明」であり、「すべての可能性が存在する」という状況にある」
そうよね、これだけの規模のシステムの割に、問題が起きた時に原因を究明できるだけの仕組みが無さそうなのはちょっと信じられない杜撰さなんだけど。
あの会見からは、セキュリティーインシデントに対する現状認識が甘いという印象を受けた
パスワードリセットで乗っ取りまではできてもチャージパスが解析できんからなあ。900人という具体的な数字が出たにもかかわらず続報がないのは結構謎 /
「短時間でクレジットカードのショッピング枠を換金可能な高額商品の買い物に割り当てられる仕組み(7pay)が実装されたことで、それまで潜在していた脆弱性が利用されてしまった可能性が高いのではないかと筆者は推測する」・・・深刻だな。>【鈴木淳也のPay Attention】
ざっくりいうと「二段階認証問題に矮小化してはいけない」
まだまだ問題点はいくつもありそう…… ⇒
そうなのか~、7pay問題申告だなあ(・_・;
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する
違約金問題やら24時間問題やらもあり、セブン首脳陣に「リスクは末端に押し付けて自分たちは被害者ヅラする」文化が根付いてるんでなかろうかと思う私(´'ω'`)

→「原因が不明」という最大の問題。7payのセキュリティ問題を考察する
過去と現在実装されているものは置いといて、真面目に対策しようとしているのは感じる。まずは現状把握から。詳しい人に全て任せては居そう。とりあえずでもシステム触らず運営で流血を防いで、慌てず対策して墓穴を掘るのを避けて現状把握をしっかりする。
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する
「「セブンはむしろ被害者」といった意識を持っている可能性」 これ日本の企業が持ってる典型的なセキュリティ意識だよね。脆弱性を放置しても無罪だが、利用どころか指摘や検証することさえもギルティ
サービス再開できるのかねぇこれ。使わんけど。【
闇の深さがホント底なしで笑う
この「筆者の知り合い」の事例が本当なら、いまバズってる2段階認証とかパスワードリセットはあんまり関係なくて、まだ爆弾抱えてることになる。ヤバイ。
責任のなすり合いなのかね、ひどい話すぎて…根本解決はむりぽ
2段階認証にすりゃいいんだろ的対応をしてまたトラブルを招くんじゃないかと心配している。 /
他所でも指摘されていたけど、作りたての16桁パスが即破られているってことは……。/
この記事が真実なら、と言うか真実。システム自体に問題があるか内部犯行としか思えないw
他山の石ってなんだ?
16文字パスワードが攻撃形跡なく漏れるなんて
-
宅ファイル便(パスワード平文保存)
かつ
ベネッセ(内部不正)
-
と、大胆に予測してみたくなる事象。
原因が判るようなシステムでもない、原因を突き止められるような体制でもない。あまりにも御粗末すぎる。
7payの攻撃の実態は現時点では確かなことは分からない。「不明」と言わざるを得ない。加えて、内部証言が。

"現状は不正検知システムの対応に手一杯で、2段階認証実装を含むセキュリティ対策全体の見直しには着手できていない"
オフショア外注に丸投げとかしたせいでバックドアでも仕掛けられてんじゃねえの(ニヤニヤ)
本当にコレ→「2段階認証」や「パスワードリセット」は問題の本質ではない
個人的に原因は製品化へのWhy→How→Whatのすべてにある気がする
“現状はまだ会見で触れられた不正検知システムの対応に手一杯で、2段階認証実装を含むセキュリティ対策全体の見直しには着手できていないようだ” 長引きそうだな… / Attention】-Impre…”
以上

記事本文: 「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】-Impress Watch

関連記事